ホーム > 情報処理安全確保支援士試験 > 2018年春期

情報処理安全確保支援士試験 2018年春期午前2 問06

ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

ア：IP アドレスの変換が行われるので, ファイアウォール内部のネットワーク構成を外部から隠蔽できる。

イ：暗号化されたパケットのデータ部を復号して, 許可された通信かどうかを判断できる。

ウ：過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。（正解）

エ：パケットのデータ部をチェックして, アプリケーション層での不正なアクセスを防止できる。

解説

ファイアウォールにおけるダイナミックパケットフィルタリングの特徴【午前2 解説】

要点まとめ

結論：ダイナミックパケットフィルタリングは、通信の状態を追跡し戻りパケットを許可する機能を持ちます。
根拠：これはステートフルインスペクションとも呼ばれ、単純なパケット単位の検査を超えた通信の状態管理が可能です。
差がつくポイント：単なる静的フィルタリングとの違いを理解し、戻りパケットの許可や通信の双方向性を把握することが重要です。

正解の理由

選択肢ウは「過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる」とあります。
これはダイナミックパケットフィルタリングの本質である「ステートフルインスペクション」の特徴を正確に表しています。
通信の状態を記憶し、リクエストに対応する戻りパケットのみを許可することで、不要な通信を遮断しつつ正当な通信を確保します。

よくある誤解

ダイナミックパケットフィルタリングは単なるIPアドレスの変換や暗号化解除を行うものではありません。
また、アプリケーション層の詳細な検査は別の高度なファイアウォール機能に該当します。

解法ステップ

問題文の「ダイナミックパケットフィルタリング」の意味を確認する。
ダイナミック（動的）とは「通信の状態を追跡する」ことを示すと理解する。
選択肢を「通信の状態管理があるか」で比較する。
「戻りパケットを許可する」機能がある選択肢を探す。
それが選択肢ウであることを確認し、正解とする。

選択肢別の誤答解説

ア: IPアドレスの変換はNATの特徴であり、ダイナミックパケットフィルタリングの直接的な機能ではありません。
イ: 暗号化されたパケットの復号はファイアウォールの基本機能ではなく、専用の暗号化解除装置やプロキシが必要です。
ウ: 正解。通信の状態を追跡し、戻りパケットを許可する機能を示しています。
エ: アプリケーション層の不正アクセス防止はアプリケーション層ゲートウェイや次世代ファイアウォールの役割です。

補足コラム

ダイナミックパケットフィルタリングは「ステートフルパケットインスペクション」とも呼ばれ、従来の「スタティックパケットフィルタリング」と比較して高度なセキュリティを提供します。
通信の状態を管理することで、単なるパケット単位の検査では防げない攻撃や不正通信を防止可能です。
また、NAT（ネットワークアドレス変換）と組み合わせて使われることも多く、内部ネットワークの保護に役立ちます。

FAQ

Q: ダイナミックパケットフィルタリングとスタティックパケットフィルタリングの違いは何ですか？
A: スタティックは単一パケットのヘッダ情報のみを検査し、ダイナミックは通信の状態を追跡して戻りパケットを許可します。

Q: ダイナミックパケットフィルタリングはアプリケーション層の検査も行いますか？
A: いいえ。アプリケーション層の詳細な検査は次世代ファイアウォールやアプリケーション層ゲートウェイの役割です。

関連キーワード: ダイナミックパケットフィルタリング, ステートフルインスペクション, ファイアウォール, ネットワークセキュリティ, スタティックパケットフィルタリング, NAT

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2018年 春期 午前2 問06

解説